Зона ответственности подразделений компании

Несколько недель назад мне довелось общаться с финансовым директором одного крупного российского производственного холдинга. Я рассказывала ему о том, как выстроить систему противодействия мошенничеству в его компании. В ответ я услышала: «Вы сейчас придете, разрушите годами выстроенную систему, всех посадите. Вы же таким образом уничтожите компанию». После этого я поняла, что профессия anti-fraud многими воспринимается искаженно - как работа, направленная на разрушение и тотальный контроль, а не на рост и развитие компании.
Виной тому – непрофессиональный подход некоторых сотрудников внутренней службы безопасности, да и отдельные внешние консультанты порой своими действиями дискредитируют профессию. Другая проблема состоит в том, что противодействием мошенничеству в компаниях занимаются многие: служба безопасности, служба внутреннего аудита, контрольно-ревизионной управление, служба комплаенса, внешние консультанты. Однако каждый из них смотрит на проблему со своей точки зрения, не решая ее системно.
В результате неслаженные, а порой и разнонаправленные действия отдельных служб действительно приводят к тому, что их работа в какой-то момент начинает мешать нормальным деловым процессам и постепенно ведет к разрушению компании.

Международные стандарты корпоративного управления и аудиторской деятельности говорят, что основная ответственность за предотвращение и обнаружение фактов мошенничества возлагается на лиц, отвечающих за управление в компании (менеджмент и совет директоров, если он имеется). Лица, отвечающие за управление, должны реализовать данное требование путем внедрения и непрерывной работы адекватных систем бухгалтерского учета и внутреннего контроля, способствующих уменьшению количества фактов мошенничества.
Но здесь есть проблема.
Во-первых, на практике подобные мероприятия в большинстве своем позволяют снизить только риск мошенничества при составлении финансовой отчетности, фактически оставляя за кадром такие виды мошенничества, как присвоение активов и деловая коррупция.
А во-вторых, совет директоров и менеджмент - это стратегический уровень компании. Вопрос в том, кто должен выполнять тактические действия по противодействию мошенничеству. Споры по этому поводу в последнее время не утихают. Попробуем ответить на этот вопрос.

Служба безопасности

Это, как правило, бывшие сотрудники правоохранительных органов. Их основная функция в компании в основном ограничена деятельностью по охране имущества и обеспечением экономической безопасности. Другими словами, действиями, прописанными в законе «О частной детективной и охранной деятельности».
Охранная деятельность службы безопасности заключается в обеспечении внутриобъектового и пропускного режимов на территорию компании, охране территории компании и ее имущества с использованием специальных технических средств - аудио- и видеонаблюдение, охранная и пожарная сигнализация, GPS-мониторинг транспорта, автоматические турникеты на входе и т.д.
Деятельность по обеспечению экономической безопасности компании включает в себя изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров, установление обстоятельств неправомерного использования фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну, выяснение данных о потенциальных работниках при заключении ими трудовых договоров и др. Таким образом, профилактические мероприятия, проводимые службой безопасности, ограничиваются обеспечением физической безопасности компании, а также проверкой сотрудников, контрагентов и подлинности документов.
Часто сотрудников службы безопасности привлекают для проведения расследования случаев мошенничества, когда необходимо разобраться в ситуации и собрать необходимые доказательства. Здесь возникает другая проблема - методы, используемые сотрудниками службы безопасности, не всегда этичны и законны. Привыкнув осуществлять оперативно-розыскные мероприятия в рамках своей работы в правоохранительных органах, сотрудники службы безопасности не всегда понимают, что обычным коммерческим предприятиям подобные действия совершать запрещено. Так, речь идет о прослушивании телефонных переговоров, снятии информации с технических каналов связи, которые законом об оперативно-розыскной деятельности отнесены к исключительной компетенции федеральных правоохранительных органов.
Кроме того, собирая информацию о той или иной организации либо частном лице, сотрудники службы безопасности зачастую нарушают закон о защите персональных данных,, закон о защите коммерческой информации, и другие законы РФ. Часто они пытаются использовать в своих компаниях силовые методы решения проблемы, порой доходя до простого запугивания работников. Но мошенничество - это интеллектуальное преступление, и подход к его противодействию с позиции грубой силы не дает желаемого результата.
Все это порождает отрицательное отношение сотрудников к корпоративной службе безопасности. В компании создается атмосфера тотального недоверия, когда подозревают всех и вся, что также не добавляет любви к тем, кто должен стоять на страже законности и порядка внутри организации. В результате компания от таких действий своей службы безопасности может понести гораздо большие убытки.
Несомненным плюсом является тот факт, что служба безопасности, как правило, напрямую подчиняется либо собственнику, либо совету директоров. Таким образом, она, по сути, является независимой от менеджмента компании структурой, которая в случае необходимости может провести проверку и в отношении руководства.

Служба внутреннего аудита

В большинстве своем это люди с экономическим образованием, отработавшие какое-то время внешними аудиторами, бухгалтерами или экономистами.
Международные стандарты внутреннего аудита говорят, что основная функция внутреннего аудита заключается в оценке вероятности риска мошенничества и реагировании на него. Внутренний аудит должен оценивать адекватность и эффективность контрольных процедур, призванных реагировать на риски внутри компании в сфере корпоративного управления, хозяйственной деятельности и информационных систем, в части:
• достоверности и целостности информации о финансово-хозяйственной деятельности;
• эффективности и экономичности деятельности;
• сохранности активов;
• соответствия требованиям законов, нормативных актов и договорных обязательств.

При этом методы, которые используют внутренние аудиторы в своей работе, не вызывают сомнения с точки зрения законности - аналитические процедуры, изучение документов, интервью с ответственными сотрудниками. Однако основная проблема заключается в том, что у внутренних аудиторов задачи другие - повышение эффективности бизнес-процессов в компании, и риск мошенничества для них является лишь одним из рисков, вероятность наступления которого они обязаны оценивать. Но, как показывает практика, заниматься проблемой мошенничества между делом, как это делают внутренние аудиторы, тоже не получается.
Мой опыт общения с сотрудниками служб внутреннего аудита показывает, что риск мошенничества они зачастую оценивают как один большой риск, не выделяя в нем подгруппы в зависимости от видов мошенничества, которому может быть подвержена организация. При этом проблемой и для сотрудников службы безопасности, и для сотрудников службы внутреннего аудита часто является отсутствие знания и понимания основных рисков той отрасли, в которой они работают, а также связанных с особенностями отрасли видов мошенничества.

Важный момент: одним из требований международных стандартов внутреннего аудита является независимость, которая обеспечивается тем, что руководитель внутреннего аудита должен иметь прямой и ничем не ограниченный доступ к высшему руководству и совету директоров (в частности, комитету по аудиту). На практике внутренний аудит функционально подчиняется комитету по аудиту, который утверждает планы проверок, а административно подчиняется финансовому директору, который может уволить сотрудников службы. Очевидно, что таким образом важнейший принцип независимости нарушается - внутренние аудиторы проверяют тех, перед кем отчитываются. Данное положение накладывает на их деятельность серьезные ограничения, которые снижают их объективность при оценке обстоятельств, сопутствующих совершенному преступлению, и не позволяют эффективно противодействовать мошенничеству, особенно со стороны топ-менеджеров.

Контрольно-ревизионное управление

Во многих компаниях в рамках службы внутреннего аудита создаются контрольно-ревизионные отделы или управления (КРО/КРУ), чья основная функция заключается в обнаружении и расследовании случаев хищения в компании. Другими словами, внутренний аудит оценивает риски мошенничества, внедряет контрольные мероприятия, то есть выполняет действия по предотвращению мошенничества, а контрольно-ревизионное управление затем проводит мероприятия по обнаружению и расследованию конкретных случаев хищений. Казалось бы, идеальный вариант. Однако следует понимать, что такой отдел, находясь внутри службы внутреннего аудита, скован ее же рамками. Поскольку внутренний аудит отчитывается перед менеджментом компании, контрольно-ревизионный отдел также автоматически отчитывается перед ним же. Это означает, что обнаружить и расследовать факты хищения рядовыми сотрудниками этот отдел сможет. Но как только речь коснется мошенничества топ-менеджмента, он будет бессилен что-либо сделать. А как известно, основные потери российские и иностранные компании несут именно от злоупотреблений со стороны своего высшего руководства, а не рядовых сотрудников.
Таким образом, мы приходим к важному выводу: подразделение, которое отвечает в компании за противодействие мошенничеству, должно подчиняться не менеджменту, а собственнику или совету директоров, в котором всегда присутствуют представители собственника. Другими словами, нужна реальная, а не формальная независимость.

Служба комплаенса (compliance)
Я никак не могла обойти стороной эту службу, поскольку в последнее время она стала невероятно популярной, особенно в западных компаниях. В переводе с английского «(compliance)» означает «соответствие законодательству».
Основная задача этой службы - обеспечение соответствия деятельности компании антикоррупционному законодательству, то есть снижение коррупционного риска.

Появление этой службы в западных компаниях связано с огромными штрафами, которые в 2008 году пришлось заплатить компании Siemens за подкуп чиновников в некоторых странах Азии, Африки, Европы, Ближнего Востока и Латинской Америки. За Siemens последовали другие компании, которым также пришлось заплатить большие штрафы за подкуп иностранных чиновников. Череда расследований в различных компаниях по данному основанию продолжается до сих пор, и количество расследований, вероятно, будет только увеличиваться.
Американское Министерство юстиции активно взялось за расследование случаев нарушения Антикоррупционного закона США (US Foreign Corrupt Practices Act - FCPA), под юрисдикцию которого попадает любая американская компания или физическое лицо, а также иностранные компании, которые имеют бизнес в США. 1 июля 2011 года вступил в силу Антикоррупционный закон Великобритании (UK Bribery Act - UKBA), который помимо подкупа иностранных чиновников запретил также коммерческий подкуп.
Действие этого закона также распространяется не только на компании и граждан Великобритании, но и на тех, кто имеет бизнес в этой стране.

Основным требованием обоих законов является внедрение необходимых контрольных процедур, которые позволяют снизить риск подкупа иностранных чиновников и иностранных компаний для получения необоснованного преимущества перед конкурентами. На практике это означает, что компании должны проверять своих контрагентов на связь с госчиновниками, ввести соответствующие правила ведения бизнеса и донести их до каждого сотрудника и контрагента, проводить регулярные проверки деятельности своих контрагентов на предмет соответствия антикоррупционному законодательству и расследовать случаи его нарушения. Другими словами, служба комплаенса должна проводить достаточно широкий спектр действий, но в отношении довольно узкого направления - коррупции.
Методы, которыми пользуется служба комплаенса, не должны нарушать закон. Вся информация о контрагентах должна быть собрана из легальных источников. Поскольку эта служба не занимается противодействием внутреннему мошенничеству со стороны сотрудников, ее независимость от высшего менеджмента не так важна. Тем не менее, в подавляющем большинстве компаний она независима и подчиняется напрямую совету директоров.

Внешние консультанты

Казалось бы, решением проблемы является привлечение внешних консультантов. Ведь очевидным плюсом внешних консультантов является независимость от менеджмента компании, поскольку они не подчиняются ему ни функционально, ни административно. Кроме того, опыт консультантов, накопленный при выполнении других подобных проектов, является бесценным кладезем знаний. Свежий взгляд со стороны, ориентирование на лучшие мировые практики - это все является безусловным преимуществом консультантов. Именно за это их и привлекают для выполнения проектов.

Но и здесь не все так просто. На практике независимость внешних консультантов тоже может оказаться формальной. И дело здесь вовсе не в том, что менеджмент заключит договор с аффилированной компанией. Просто многие внешние консультанты очень боятся потерять клиента, поэтому делают то, что он им скажет. «Мы напишем все, что вам нужно, только давайте заключим договор», - так они мыслят. В результате сотрудники в компании как воровали, так и продолжают воровать, зато и консультанты, и менеджмент довольны. В общем-то, сотрудники тоже. Только собственники продолжают терпеть огромные убытки.
Другая проблема - отсутствие у внешних консультантов заинтересованности в том, чтобы разобраться в проблеме клиента и дать эффективное решение. Основная цель многих консультантов - заработать деньги, затрачивая как можно меньше усилий. В результате компания получает красивый отчет, но не получает реального решения проблемы.

И, наконец, самая главная проблема - отсутствие профессионализма. Часто для того, чтобы заработать больше, а потратить меньше, внешние консультанты нанимают на работу непрофессионалов, поскольку они стоят дешевле. Чтобы компенсировать отсутствие профессионализма, консультанты используют стандартизированный, процедурный подход ко всем компаниям. Однако он не работает в отношении корпоративного мошенничества. Безусловно, существуют стандартные процедуры, которыми пользуются все внешние консультанты, но ими можно выявить только типовое мошенничество. Если схема сложная, то обнаружить ее можно, только выйдя за рамки привычного мышления. А, как правило, наибольший ущерб компании наносят именно нетиповые схемы мошенничества. Поэтому к выбору внешнего консультанта следует подходить очень осторожно. Громкое имя не гарантирует качество и профессионализм. Однако и неизвестные компании таят в себе не меньше рисков подобного рода.
Справедливости ради стоит отметить, что внешних консультантов обычно нанимают для решения какой-то конкретной проблемы, а не для выстраивания и поддержки системы. Системный подход стоит недешево, и не каждая компания способна оплатить подобные услуги. Таким образом, консультанты оказываются скованными рамками договора и при всем желании не могут выйти за его пределы.

Итак, что же мы имеем в сухом остатке? Служителей много, а истинных нет.
Во-первых, чтобы быть действительно эффективной, anti-fraud служба должна обладать реальной независимостью от менеджмента компании.
Во-вторых, силовые и нелегальные методы противодействия мошенничеству недопустимы, поскольку задача состоит не в том, чтобы разрушить компанию и наказать виновных, а чтобы обеспечить успешное развитие и процветание компании. За незаконные же методы компании рано или поздно все равно придется заплатить - потерей сотрудников, доли рынка или уголовным преследованием ее руководства и собственников.
В-третьих, противодействием мошенничеству нужно заниматься реально, а не формально, если компания хочет преуспеть на мировом рынке и не потерять свои позиции. Можно посмотреть, как это сделали другие, и просто сделать так же. Но этот подход может не сработать, поскольку каждая компания имеет свои особенности, а значит, проблему нужно решать индивидуально.
В-четвертых, для выхода на мировой рынок и успешной конкуренции компаниям необходима четко выстроенная система, которая объединит все внутренние службы в единое целое. Если проблемой противодействия мошенничества в компании занимаются все, значит, серьезно не занимается никто.
Именно поэтому в компании должно быть отдельное профессиональное подразделение anti-fraud, которое полностью отвечает за противодействие корпоративному мошенничеству, включая и профилактику, и обнаружение, и расследование; которое будет проводить анализ существующего положения и давать соответствующие рекомендации.

Только системный подход может что-то изменить к лучшему.

Печатается с сокращениями.
Журнал «Директор по безопасности», февраль 2012

Автор – генеральный директор учебно-консультационного центра «ANTI-FRAUD.RU»